Google-Forscher warnen vor weiter ungepatchten Zero-Day-Lücken in Adobe Reader

Die Anfälligkeiten stecken vor allem in der Linux-Version von Adobe Reader. Einige der Probleme betreffen aber auch die Ausgaben für Windows und Mac OS X.

Im Fall der Linux-Version haben die beiden Sicherheitsforscher nach eigenen Angaben mit Adobe zusammen an Patches für 14 “neue eindeutige Abstürze” und neun “Testfälle” gearbeitet. Alle Lücken seien möglicherweise anfällig für das Einschleusen und Ausführen von Schadcode.

Adobe plane keine weitere Aktualisierung für Reader vor dem 27. August, schreiben Jurczyk und Coldwind in einemBlog. Deswegen hätten sie sich entschlossen, mit den Informationen an die Öffentlichkeit zu gehen. “Adobe will die verbliebenen Bugs mit einem kommenden Update für die Linux-Version von Reader beseitigen.” Die ersten 24 Fehler habe Adobe mit zwölf unterschiedlichen Code-Fixes behoben. Für die restlichen Probleme werde es wahrscheinlich weitere acht Fixes benötigen.

“Auch wenn uns keine Beweise dafür vorliegen, dass die Lücken schon ausgenutzt werden, sind wir beunruhigt”, heißt es weiter in dem Blog. Basierend auf den Unterschieden zwischen der alten und der jetzt gepatchten Windows-Version sei es ohne viel Aufwand möglich, einen funktionierenden Exploit zu entwickeln. “Wir gehen von einem ernsten Risiko für Nutzer von Adobe Reader aus.”

Die Anfälligkeiten seien mithilfe von frei erhältlichen PDF-Dokumenten gefunden worden. Sie seien dafür mit einfachen Algorithmen wie “Bitflipping” manipuliert worden. “Wir halten es für möglich, dass auf das Aufspüren von Fehlern und Schwachstellen spezialisierte Dritte von den Problemen wissen oder sie schon missbrauchen.”

Adobe hatte am Dienstag 20 Sicherheitslöcher in Reader und Acrobat für Windows und Mac OS X gestopft. Die Linux-Variante von Adobe Reader wird im zugehörigen Sicherheitsbulletin nicht erwähnt. Sie wurde zuletzt im April auf die Version 9.5.1 aktualisiert, die allerdings nur in englischer Sprache vorliegt. Deutschsprachige Anwender erhalten auf der Adobe-Website weiterhin die Version 9.4.2, die Adobe seit September 2011 als unsicher einstuft.

[mit Material von Tom Brewster, TechWeekEurope]

Redaktion

Recent Posts

IT 2025: IT-Führungskräfte erwarten massiven KI-Ruck

Einsatz von KI-Lösungen wirbelt auch in deutschen Unternehmen die Liste der Top-Technologieanbieter durcheinander.

2 Tagen ago

Sofortzahlungen im Wandel: Sicherheit und KI als treibende Kräfte

Echtzeitüberweisungen erfüllen die Erwartungen der Nutzer an Geschwindigkeit, sind jedoch anfällig für spezifische Sicherheits- und…

3 Tagen ago

Blockaden und Risiken bei APM-Projekten vermeiden

Application Portfolio Management (APM) verspricht Transparenz, mehr IT-Leistung und Effizienz – theoretisch.

4 Tagen ago

BSI-Bericht: Sicherheitslage im Cyberraum bleibt angespannt

Im Berichtszeitraum Mitte 2023 bis Mitte 2024 wurden täglich durchschnittlich 309.000 neue Schadprogramm-Varianten bekannt.

5 Tagen ago

KI-Hype in der Cybersicherheit – oder besser doch nicht?

KI kommt in der Cybersicherheit zum Einsatz, etwa um Abweichungen im Netzwerkverkehr zu identifizieren. Ist…

6 Tagen ago

Netzwerksegementierung schützt vor Angriffen über die OT

Ungepatchte und veraltetete Maschinen-Software ist ein beliebtes Einfallstor für Hacker, warnt Nils Ullmann von Zscaler…

6 Tagen ago